CTF攻防世界--web题的wp
Linux的系统光盘,当然想到了在Linux下进行挂载了。
打开虚拟机:
aaa@qq.com:~# strings '/root/桌面/linux' | grep flag //strings - 显示文件中的可打印字符 strings 一般用来查看非文本文件的内容.
aaa@qq.com:~# sudo mount '/root/桌面/linux' /mnt //将文件挂载到/mnt目录下
aaa@qq.com:~# cat /mnt/O7avZhikgKgbF/flag.txt //打开txt文件
aaa@qq.com:~# base64 -d /mnt/O7avZhikgKgbF/flag.txt //进行base64解密得到flag。
补充:
linux下mnt目录的作用:mount 可直接理解为“挂载”挂接光驱、USB设备的目录,加载后,会在mnt里多出相应设备的目录。
其实我们可以直接打开文件然后搜索KEY直接得到flag。
2.X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
robotos协议:
robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当 一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。
御剑扫描:
双击打开发现:
访问php得到flag。
3.
备份文件的后缀名为.bak
4.
小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。
disabled 属性规定应该禁用 input 元素。被禁用的 input 元素既不可用,也不可点击。可以设置 disabled 属性,直到满足某些其他的条件为止(比如选择了一个复选框等等)。然后,就需要通过 JavaScript 来删除 disabled 值,将 input 元素的值切换为可用。
注释:disabled 属性无法与 一起使用。
5.
掌握有关命令执行的知识
windows或linux下: command1 && command2 先执行command1后执行command2 command1 | command2 只执行command2 command1 & command2 先执行command2后执行command1
post传参数:
页面回显示:
页面回显:
注意最后一条命令是cat不是ls
5.小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
我们打开题目连接:
<?php
show_source(__FILE__);
include("config.php");
aaa@qq.com$_GET['a'];
aaa@qq.com$_GET['b'];
if($a==0 and $a){ //a经过弱类型比较等于0而且a本身不能等于0,因为如果a=0,条件不成立不能输出flag1
echo $flag1;
}
if(is_numeric($b)){
exit();
}
if($b>1234){ //b不能是数字,而且b还要是大于1234
echo $flag2;
}
?>
上一篇: Photoshop 一架怀旧的留声机